Usługi
Usługiarrow Bezpieczeństwo organizacyjne
Bezpieczeństwo organizacyjne

Zapewnij bezpieczeństwo organizacji. Zapewnij bezpieczeństwo informacji i ciągłość działania w perspektywie fizycznej, osobowej i teleinformatycznej. Zapewnij zgodność z wymaganiami prawnymi. Skorzystaj z audytu, usług wdrożenia, zarzadzania ryzykiem i testów oraz podnoszenia świadmości.

Bezpieczeństwo informacji

Bezpieczeństwo informacji jest pojęciem dotykającym zagadnień z pogranicza technologii, organizacji i prawa. Organizacje, mimo zakrojonych na szeroką skalę działań mających na celu ochronę danych, borykają się z incydentami naruszającymi bezpieczeństwo informacji. Wynika to głównie z braku zrozumienia, że na ochronę aktywów wpływają nie tylko czynniki techniczne.

Zarządzanie bezpieczeństwem informacji w oparciu o standard ISO/IEC 27001  znacznie ogranicza ryzyko utraty jej podstawowych atrybutów – poufności, integralność i dostępności. Pozwala również uniknąć sytuacji, w której prowadzona działalność jest narażona na konsekwencje wynikające z niespełnienia przepisów prawa w obszarze ochrony danych osobowych.

Podstawowym założeniem normy ISO/IEC 27001 jest ocena ryzyka utraty bezpieczeństwa informacji.

Przeprowadzenie procesu analizy umożliwia opracowanie i zastosowanie adekwatnych zabezpieczeń, których celem jest właściwa ochrona zasobów informacyjnych i przygotowanie standardów reagowania w razie nieautoryzowanego dostępu do informacji. Norma obejmuje wszystkie kategorie informacji, zarówno te przetwarzane wewnątrz, jak i przesyłane na zewnątrz organizacji. Standard dotyczy także wszystkich rodzajów informacji: zapisywanych na papierze, przekazywanych ustnie, graficznie, w postaci elektronicznej na infrastrukturze klienta, czy rozwiązaniach chmurowych. Standard ISO/IEC 27001 może być stosowany przez każdą organizację bez względu na specyfikę jej działalności, wielkość, status prawny czy realizowane procesy.

Identyfikacja, klasyfikacja i ochrona aktywów

Aby skutecznie chronić informacje należy zidentyfikować i sklasyfikować aktywa, które będą podlegały ochronie oraz ustalić stopień w jakim powinny być chronione. Organizacja musi także zdiagnozować zagrożenia, które mogą spowodować utratę podstawowych atrybutów i oszacować prawdopodobieństwo ich materializacji – przeprowadzając ocenę ryzyka. Przez aktywa rozumie się nie tylko informacje, niezależnie od rodzaju nośnika, ale i środki trwałe, czy personel wraz z wiedzą którą posiada. Norma określa poszczególne elementy kontroli i sposoby sterowania bezpieczeństwem informacji. Pozwala to organizacji na wybór najwłaściwszego zabezpieczenia w odniesieniu do specyfiki jej działalności oraz otoczenia rynkowego. Oprócz wymagań zawartych w treści bazowej, standard posiada również załącznik A, definiujący listę konkretnych zabezpieczeń zalecanych do wdrożenia w organizacji.

Wdrażanie Systemów Zarządzania Bezpieczeństwem Informacji oraz wsparcie w ich utrzymaniu i doskonaleniu to jedna z głównych działalności naszej firmy. Dzięki grupie ekspertów składającej się ze specjalistów w dziedzinie wdrażania wymagań standardów ISO, radców prawnych, inspektorów ochrony danych, architektów bezpieczeństwa i pentesterów kompleksowo  rozwiązujemy problemy napotkane u naszych klientów i proponujemy praktyczne rozwiązania.

Konsultant bezpieczeństwa
Nowy standard bezpieczeństwa informacji - ISO/IEC 27001:2022
Zapoznaj się ze zmianami w ISO 27001 arrow
Bezpieczeństwo fizyczne

Jednym z elementów wymaganych przez standard ISO/IEC 27001 jest zapewnienie właściwego bezpieczeństwa fizycznego obiektów należących do organizacji. Bazując na wynikach publikowanych cyklicznie przez Infowatch Analytics Center, można stwierdzić, że co roku około 10% największych wycieków informacji jest spowodowane kradzieżą dokumentów lub aktywów informacyjnych – między innymi z siedzib organizacji.

W ramach właściwego zabezpieczenia lokalizacji, w ramach wdrożenia SZBI opracowywane są zasady obejmujące m.in.:

  • podział i strefowanie pomieszczeń oraz obiektów,
  • wdrożenie zasad ochrony i minimalnych zabezpieczeń dla poszczególnych stref,
  • ustalenie niezbędnych systemów wspierających zarządzanie bezpieczeństwem fizycznym (kontrola dostępu, monitoring wizyjny etc.),
  • zabezpieczenia przed zagrożeniami środowiskowymi w pomieszczeniach specjalnych,
  • zasady przebywania gości oraz przedstawicieli dostawców w poszczególnych strefach,
  • zasady ruchu kołowego w lokalizacjach,
  • stosowanie oznakowania osób spoza organizacji.
Bezpieczeństwo osobowe

Często podczas szkoleń mówimy o zasadzie najsłabszego ogniwa. W dziedzinie bezpieczeństwa informacji, za najsłabszy punkt uznaje się człowieka – pracownika firmy (aktualnie zatrudnionego lub byłego), podwykonawcę, administratora, czy nawet przedstawiciela najwyższego kierownictwa. Piszemy o tym szerzej tutaj, gdzie przybliżamy ideę audytu socjotechnicznego i badań świadomości pracowników.

Niemniej jednak, każda organizacja wdrażająca systemowe podejście do zarządzania bezpieczeństwem informacji musi zaplanować kilka procesów w obszarze bezpieczeństwa osobowego. Są to między innymi:

  • rekrutacja, w tym weryfikacja kwalifikacji i autentyczności dokumentacji potwierdzającej uprawnienia,
  • onboarding i szkolenia wstępne w obszarze bezpieczeństwa,
  • pisemne zobowiązania do zachowania tajemnicy,
  • cykliczne szkolenia w zakresie bezpieczeństwa informacji, wewnętrznych regulacji SZBI oraz budowania świadomości,
  • procesy offboardingu i odbierania uprawnień do informacji oraz przekazanych zasobów,
  • zasady postępowania dyscyplinarnego i szybkiej ścieżki odebrania uprawnień w systemach IT i zasobów przetwarzających informacje.
Bezpieczeństwo teleinformatyczne

W dobie galopującej cyfryzacji znaczna część zabezpieczeń wdrażanych w ramach Systemów Zarządzania Bezpieczeństwem Informacji dotyczy przetwarzania informacji w systemach teleinformatycznych. Implementacja wymagań zawartych w Załączniku A do normy ISO/IEC 27001 polega przede wszystkim na ustaleniu praktycznych regulacji obejmujących m.in.:

  • zarządzanie uprawnieniami,
  • uwierzytelnianie użytkowników,
  • zarządzanie hasłami administracyjnymi,
  • zarządzanie zmianą,
  • zarządzanie kopiami zapasowymi,
  • wykorzystanie zabezpieczeń kryptograficznych,
  • ewidencjonowanie działań administratorów,
  • zabezpieczenie sieci wewnętrznej i styku z siecią publiczną,
  • zarządzanie bezpieczeństwem urządzeń mobilnych,
  • zapewnienie bezpieczeństwa stacji roboczych,
  • wykorzystanie nośników zewnętrznych,
  • zabezpieczenie logów i monitorowania zdarzeń w systemach,
  • relacje z dostawcami,
  • zarządzanie licencjami.
Bezpieczeństwo organizacyjne i prawne

Wiele organizacji decyduje się na wdrożenie mechanizmów podnoszących poziom bezpieczeństwa informacji i przetwarzanych danych ze względu na obowiązki wynikające z mających zastosowanie przepisów prawa. Dotyczy to przede wszystkim wdrożenia dobrze znanego wszystkim RODO, Rozporządzenia o Krajowych Ramach Interoperacyjności, Ustawy o zwalczaniu nieuczciwej konkurencji, czy Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Oczywiście nie są to jedynie regulacje, które wymagają właściwego zabezpieczenia danych osobowych i informacji chronionych. Dzięki znajomości wymagań prawnych, w ramach realizacji projektów jesteśmy w stanie zarówno wypracować praktyczne i skuteczne mechanizmy zabezpieczenia danych, jak i zapewnić zgodność z właściwymi przepisami prawa.

Automatyzacja bezpieczeństwa informacji

Dobrym pomysłem jest wykorzystanie narzędzi automatyzujących  identyfikację  podatności, analizę ryzyka,  planowanie i monitorowanie działań z zakresu bezpieczeństwa informacji. Wiodące na rynku narzędzie znajdziesz tu – BPM

Potrzebujesz wsparcia w zakresie bezpieczeństwa?
Skontaktuj się z nami! arrow
Korzyści
  • zwiększenie poziomu bezpieczeństwa informacji przetwarzanych w organizacji, budowa przewagi konkurencyjnej i pozytywnego wizerunku wśród partnerów biznesowych,
  • stworzenie podziału informacji przetwarzanych w organizacji z uwzględnieniem ich poufności, integralności i dostępności oraz wprowadzenie zasad przetwarzania poszczególnych grup,
  • przeprowadzenie oceny ryzyka utraty bezpieczeństwa informacji pokazującej największe ryzyka i podatności organizacji, a tym samym zwiększenie bezpieczeństwa prowadzonej działalności,
  • wprowadzenie adekwatnych i praktycznych mechanizmów zabezpieczenia informacji przetwarzanych w organizacji oraz wymienianych ze stronami trzecimi,
  • zwiększenie świadomości bezpieczeństwa informacji wśród pracowników w sposób praktyczny i przyjazny użytkownikowi,
  • spełnienie wymagań prawnych nakładanych na organizację wynikających np. z Ustawy o KSC, Rozporządzeniu o KRI, RODO etc.
Zainteresowany?
Skontaktuj się z nami arrow
Dobre rady konsultanta :)

Audyt wstępny

Rekomendujemy, by każdy z projektów wdrożenia SZBI rozpoczynać od audytu wstępnego. Dlaczego? Odpowiedź jest prosta – by poznać organizację klienta i maksymalnie wykorzystać rozwiązania, które funkcjonują w firmie. Nie ma firm, które w żaden sposób nie zapewniają bezpieczeństwa przetwarzanych danych i informacji, warto więc skorzystać z aktualnych rozwiązań. Wartością dodaną jest raport przedstawiający szczegółowy opis poziomu spełniania poszczególnych punktów normy. Klient pozyskuje pełną informację nt. wymagań które już spełnił i takich, które wymagają doskonalenia. W przypadku niespełnienia jakiegoś wymagania, zawsze opisujemy rekomendacje ich wdrożenia.

Analiza ryzyka

Poprawnie zaprojektowana i przeprowadzona analiza ryzyka to połowa sukcesu funkcjonowania SZBI. Opracowując regulacje w zakresie zarządzania ryzykiem w SZBI staramy się wykorzystać praktyki funkcjonujące u klienta i wzbogacić je o wytyczne zawarte w ISO 27005. Mechanizm, który rekomendujemy to powiązanie procesu klasyfikacji informacji z szacowaniem ryzyka. Na początku inwentaryzujemy, wraz z przedstawicielami komórek merytorycznych, grupy informacji, które przetwarzają, oceniamy ich poufność, dostępność i integralność oraz wskazujemy gdzie są przetwarzane (w jakich systemach IT/pomieszczeniach). Dzięki temu uzyskujemy wiedzę o zasobach przetwarzających informacje oraz oceniamy ich krytyczność. Dla każdego z zasobów opracowywana jest lista potencjalnych zagrożeń i wraz z właścicielami zasobów, identyfikowane podatności. Podejście to gwarantuje kompleksową analizę problemu – od informacji po ryzyko i plan postępowania z ryzykiem.

Opracowanie dokumentacji SZBI

Każde wdrożenie wymagań standardu ISO/IEC 27001, jak również innych norm ISO wymaga opracowania kompleksowej dokumentacji. Jej zakres, poziom szczegółowości i sposób integracji z regulacjami wewnętrznymi jest zawsze ustalany z klientem. Podejściem, które rekomendujemy jest opracowanie hierarchicznej struktury obejmującej: - Politykę Zarządzania Bezpieczeństwem Informacji - regulaminy dziedzinowe: Regulamin Zarządzania Bezpieczeństwem Fizycznym, Regulamin Zarządzania Bezpieczeństwem Osobowym, Regulamin Zarządzania Bezpieczeństwem IT - procedury i instrukcje szczegółowe. Podejście to zapewnia przejrzystość regulacji, łatwość poruszania się po dokumentacji SZBI i brak problemów z właścicielstwem.

Proces wdrożenia usługi
1
Przeprowadzenie audytu skuteczności obecnie funkcjonujących zabezpieczeń organizacyjnych i technicznych zgodnie z normą odniesienia – np. ISO/IEC 27001.
2
Opracowanie metodyk, przeprowadzenie klasyfikacji informacji oraz oceny ryzyka utraty bezpieczeństwa informacji,
3
Przygotowanie planu postępowania z ryzykiem stanowiącego mapę działań dla dalszego doskonalenia SZBI,
4
Wdrożenie lub aktualizacja istniejącej dokumentacji wewnętrznej systemu zarządzania bezpieczeństwem informacji,
5
Monitorowanie planu postępowania z ryzykiem i rekomendacji wynikającej z audytu inicjującego projekt.
6
W przypadku podejścia do certyfikacji na zgodność z normą ISO/IEC 27001 – przeprowadzenie działań niezbędnych do audytu. Na życzenie klienta wsparcie w procesie certyfikacji.
Masz pytania dotyczące tej usługi?
Napisz do nas arrow
Materiały dodatkowe